Ulkoisen hyökkäyspinnan anatomia

Ulkoisen pintahyökkäyksen anatomian ymmärtäminen

Viisi tekijää, joita organisaatioiden tulisi seurata

Kyberturvallisuuden maailma on tulossa entistä monimutkaisemmaksi organisaatioiden siirtyessä käyttämään pilvipalveluja ja työskentelemään hajautetusti. Tänä päivänä ulkoinen hyökkäyspinta kattaa useita pilvipalveluja, monimutkaisia digitaalisia toimitusketjuja sekä suuria kolmannen osapuolen ekosysteemejä. Näin ollen nykyisin yleisten maailmanlaajuisten tietoturvatapausten laajuus on muuttanut radikaalisti käsitystämme kokonaisvaltaisesta tietoturvasta.

Internet on nyt osa verkkoa. Sen lähes käsittämättömästä koosta huolimatta tietoturvaryhmien on puolustettava organisaationsa läsnäoloa internetissä samassa määrin kuin kaikkea palomuurien takana olevaa. Kun yhä useammat organisaatiot omaksuvat Zero Trust -suojausmallin periaatteet, sekä sisäisten että ulkoisten pintojen suojaamisesta tulee internetin laajuinen haaste. Siksi organisaatioiden on yhä tärkeämpää ymmärtää hyökkäyspintansa koko laajuus.

Microsoft osti Risk IQ:n vuonna 2021 auttaakseen organisaatioita arvioimaan koko digitaalisen yrityksensä turvallisuutta. Käyttämällä RiskIQ Internet Intelligence Graphia organisaatiot voivat havaita ja tutkia uhkia kaikissa komponenteissa, yhteyksissä, palveluissa, IP-yhteydellä varustetuissa laitteissa ja infrastruktuurissa, jotka muodostavat niiden hyökkäyspinnan, ja luoda joustavan ja skaalautuvan puolustuksen.

Tietoturvaryhmille voi tuntua pelottavalta se, miten syvää ja laajaa alaa heidän on puolustettava. Yksi tapa asettaa organisaation hyökkäyspinnan laajuus perspektiiviin on kuitenkin ajatella internetiä hyökkääjän näkökulmasta. Tässä artikkelissa korostetaan viittä osa-aluetta, jotka auttavat paremmin hahmottamaan tehokkaan ulkoisen hyökkäyspinnan hallinnan haasteita.

Globaali hyökkäyspinta kasvaa internetin myötä

Ja se kasvaa joka päivä. Vuonna 2020 internetin tietomäärä saavutti 40 tsettatavua tai 40 biljoonaa gigatavua.¹ RiskIQ havaitsi, että joka minuutti 117 298 isäntää ja 613 verkkotunnusta² lisätään moniin toisiinsa kietoutuneisiin lankoihin, jotka muodostavat maailmanlaajuisen hyökkäyspinnan monimutkaisen kankaan. Kukin näistä sisältää joukon elementtejä, kuten taustalla olevat käyttöjärjestelmät, kehykset, kolmannen osapuolen sovellukset, laajennukset ja seurantakoodin. Kun jokainen näistä nopeasti lisääntyvistä sivustoista sisältää näitä eri osia, maailmanlaajuisen hyökkäyspinnan laajuus kasvaa eksponentiaalisesti.

isäntää luotu joka minuutti.
toimialuetta luotu joka minuutti.
375 uutta uhkaa joka minuutti.²

Sekä lailliset organisaatiot että uhkaavat toimijat osallistuvat tähän kasvuun, mikä tarkoittaa, että kyberuhat lisääntyvät samassa mittakaavassa kuin muu internet. Sekä kehittyneet jatkuvat uhat (APT) että pikkukyberrikolliset uhkaavat yritysten turvallisuutta ja ne ottavat kohteekseen yritysten tiedot, brändin, immateriaalioikeudet, järjestelmät ja ihmiset.

Vuoden 2021 ensimmäisen neljänneksen aikana CISCO havaitsi 611 877 yksilöllistä tietojen kalastelusivustoa,³ joissa oli 32 verkkotunnuksen loukkaustapahtumaa ja 375 uutta uhkaa minuutissa.² Nämä uhat kohdistuvat organisaatioiden työntekijöihin ja asiakkaisiin huijauksilla, jotka pyrkivät huijaamaan heitä klikkaamaan haitallisia linkkejä ja kalastelemaan arkaluonteisia tietoja, mikä kaikki voi murentaa brändin luotettavuutta ja kuluttajien luottamusta.

Etätyötä tekevästä työvoimasta johtuvien haavoittuvuuksien lisääntyminen

Internetissä olevien resurssien nopea kasvu on laajentanut huomattavasti keskimääräiseen organisaatioon kohdistuvien uhkien ja haavoittuvuuksien kirjoa. COVID-19:n myötä digitaalinen kasvu kiihtyi jälleen kerran, ja lähes kaikki organisaatiot laajensivat digitaalista jalanjälkeään erittäin joustavan etätyövoiman ja liiketoimintamallin mahdollistamiseksi. Tuloksena hyökkääjillä on nyt paljon enemmän pääsypisteitä, joita he voivat tutkia tai hyödyntää.

Etäkäyttötekniikoiden, kuten RDP:n (Remote Desktop Protocol) ja VPN:n (Virtual Private Network), käyttö on noussut räjähdysmäisesti 41 prosenttia ja 33 prosenttia⁴ ja suurin osa maailmasta on ottanut käyttöön kotoa käsin työskentelyä koskevan politiikan. Etätyöpöytäohjelmistojen maailmanlaajuisten markkinoiden koko, 1,53 miljardia dollaria vuonna 2019, nousee 4,69 miljardiin dollariin vuoteen 2027 mennessä.⁵

Kymmenet uudet haavoittuvuudet etäyhteysohjelmistoissa ja -laitteissa ovat antaneet hyökkääjille jalansijaa, jota heillä ei ole ennen ollut. RiskIQ paljasti monia haavoittuvia esiintymiä suosituimmista etäkäyttö- ja rajalaitteista, eikä haavoittuvuuksien valtava määrä ole hidastunut. Kaikkiaan vuonna 2021 ilmoitettiin 18 378 haavoittuvuutta.⁶

kasvu RDP:n käytössä.
kasvu VPN:n käytössä.
haavoittuvuutta ilmoitettu vuonna 2021.

Useiden uhkaryhmien organisoimien ja digitaalisille yrityksille räätälöityjen maailmanlaajuisten hyökkäysten lisääntyessä tietoturvaryhmien on vähennettävä haavoittuvuuksia, jotka koskevat heitä itseään, kolmansia osapuolia, yhteistyökumppaneita, kontrolloituja ja kontrolloimattomia sovelluksia ja palveluita digitaalisessa toimitusketjussa olevien suhteiden sisällä ja niiden välillä.

Digitaaliset toimitusketjut, M&A, ja varjo-IT luovat piilotetun hyökkäyspinnan

Useimmat kyberhyökkäykset saavat alkunsa kaukana verkosta; verkkosovellukset olivat se vektoriluokka, jota käytettiin yleisimmin hyväksi hakkerointiin liittyvissä murroissa. Valitettavasti useimmilla organisaatioilla ei ole kattavaa kuvaa Internet-resursseistaan ja siitä, miten nämä resurssit liittyvät globaaliin hyökkäyspintaan. Kolme merkittävää tekijää, jotka vaikuttavat tähän näkyvyyden puutteeseen, ovat varjo-IT, fuusiot ja yritysostot (M&A) sekä digitaaliset toimitusketjut.

vanhentunutta palvelua joka minuutti.²
sopimuksista sisältää kyberturvallisuuden due diligence -tarkastuksen⁷
organisaatioista on kokenut vähintään yhden kolmannen osapuolen aiheuttaman tietomurron.⁸

Varjo-IT

Jos IT ei pysy liiketoiminnan vaatimusten tahdissa, liiketoiminta hakee muualta tukea uusien verkkoresurssien kehittämiseen ja käyttöönottoon. Tietoturvaryhmä on usein pimennossa näistä varjo-IT-toiminnoista, minkä vuoksi se ei voi sisällyttää luotuja resursseja tietoturvaohjelman piiriin. Hallitsemattomista ja orvoiksi jääneistä resursseista voi ajan mittaan tulla organisaation hyökkäyspinnan rasite.

Tämä palomuurin ulkopuolisen digitaalisten resurssien nopea kasvaminen on nykyään normaalia. Uudet RiskIQ-asiakkaat löytävät yleensä noin 30 prosenttia enemmän resursseja kuin he luulivat omistavansa, ja RiskIQ havaitsee 15 vanhentunutta palvelua (jotka ovat alttiita alatunnuksen haltuunotolle) ja 143 avointa porttia joka minuutti.²

Fuusiot ja yritysostot

Jokapäiväiset toiminnot ja kriittiset liiketoiminta-aloitteet, kuten M&A, strategiset kumppanuudet ja ulkoistaminen, luovat ja laajentavat ulkoisia hyökkäyspintoja. Nykyään alle 10 prosenttia maailmanlaajuisista sopimuksista sisältää kyberturvallisuuden due diligence -tarkastuksen.

On useita yleisiä syitä siihen, miksi organisaatiot eivät saa täydellistä kuvaa mahdollisista kyberriskeistä due diligence -prosessin aikana. Ensimmäinen on yrityksen hankkiman digitaalisen tilan laajuus. Ei ole harvinaista, että suurella organisaatiolla on tuhansia – tai jopa kymmeniä tuhansia – aktiivisia verkkosivustoja ja muita julkisesti alttiina olevia resursseja. Vaikka ostettavan yrityksen IT- ja tietoturvatiimeillä on omaisuusluettelo verkkosivustoista, se on lähes aina vain osittainen kuva siitä, mitä on olemassa. Mitä hajautetumpia organisaation IT-toiminnot ovat, sitä merkittävämpi aukko on.

Toimitusketjut

Yritykset ovat yhä riippuvaisempia nykyaikaisen toimitusketjun muodostavista digitaalisista yhteenliittymistä. Vaikka nämä riippuvuussuhteet ovat välttämättömiä 2000-luvulla, ne luovat myös sekavan, monikerroksisen ja erittäin monimutkaisen verkoston kolmansien osapuolten suhteita, joista monet eivät kuulu tietoturva- ja riskitiimien tehtäviin suojella ja puolustaa ennakoivasti. Tämän vuoksi riskistä kertovien haavoittuvien digitaalisten resurssien nopea tunnistaminen on valtava haaste.

Näiden riippuvuussuhteiden ymmärtämisen ja näkyvyyden puute on tehnyt kolmannen osapuolen hyökkäyksistä yhden uhkaavien toimijoiden yleisimmistä ja tehokkaimmista vektoreista. Merkittävä osa hyökkäyksistä tapahtuu nykyään digitaalisen toimitusketjun kautta. Nykyään 70 prosenttia tietotekniikka-alan ammattilaisista kertoo, että he ovat kohtalaisen tai erittäin riippuvaisia ulkoisista tahoista, joihin voi kuulua kolmansia, neljänsiä tai viidensiä osapuolia.⁹ Samaan aikaan 53 prosenttia organisaatioista on kokenut vähintään yhden kolmannen osapuolen aiheuttaman tietomurron.¹⁰

Vaikka laajamittaiset toimitusketjuun kohdistuvat hyökkäykset yleistyvät, organisaatiot joutuvat päivittäin tekemisiin pienempien hyökkäysten kanssa. Magecartin kaltaiset digitaaliset luottokorttien skimmaushaittaohjelmat vaikuttavat kolmannen osapuolen verkkokauppaliitännäisiin. Helmikuussa 2022 RiskIQ havaitsi yli 300 verkkotunnusta, joihin Magecart-haittaohjelma on vaikuttanut.¹¹

Yritykset panostavat vuosi vuodelta enemmän mobiiliin, kun keskivertokuluttajan elämäntyyli muuttuu yhä mobiilikeskeisemmäksi. Amerikkalaiset viettävät nykyään enemmän aikaa mobiililaitteella kuin televisiota katsellen, ja sosiaalinen etäisyys sai heidät siirtämään enemmän fyysisiä tarpeitaan, kuten ostoksia ja koulutusta, mobiiliin. App Annie osoittaa, että mobiilikäyttö kasvaa huikeaan 170 miljardiin dollariin vuonna 2021, mikä tarkoittaa 19 prosentin kasvua edellisvuoteen verrattuna.¹²

Tämä mobiilin kysyntä johtaa mobiilisovellusten massiiviseen lisääntymiseen. Käyttäjät latasivat 218 miljardia sovellusta vuonna 2020. RiskIQ:n mukaan vuonna 2020 saatavilla olevien mobiilisovellusten määrä kasvoi 33 prosenttia, ja joka minuutti ilmestyy 23 uutta sovellusta.²

kasvu mobiilisovelluksissa.
mobiilisovellusta ilmestyy joka minuutti.
sovellus estetään joka viides minuutti.²

Organisaatioille nämä sovellukset edistävät liiketoiminnan tuloksia. Ne voivat kuitenkin olla kaksiteräinen miekka. Sovellusympäristö on merkittävä osa yrityksen kokonaishyökkäyspinnasta, joka on palomuurin ulkopuolella, jossa tietoturvatiimit kärsivät usein kriittisestä näkyvyyden puutteesta. Uhkaavat toimijat ovat ansainneet elantonsa hyödyntämällä tätä likinäköisyyttä tuottamalla "rogue-sovelluksia", jotka jäljittelevät tunnettuja tuotemerkkejä tai muutoin väittävät olevansa jotakin, mitä ne eivät ole, ja jotka on suunniteltu huijaamaan asiakkaita lataamaan ne. Kun pahaa aavistamaton käyttäjä lataa näitä haitallisia sovelluksia, uhkaavat toimijat pääsevät valloilleen kalastelemalla arkaluonteisia tietoja tai lataamalla haittaohjelmia laitteisiin. RiskIQ lisää haitallisen mobiilisovelluksen estolistalle viiden minuutin välein.

Nämä rogue-sovellukset ilmestyvät harvoin virallisiin kauppoihin, ja ne voivat jopa läpäistä suurimpien sovelluskauppojen vankat suojaukset. Sadat vähemmän hyvämaineiset sovelluskaupat muodostavat kuitenkin hämärän mobiilimaailman maineikkaiden kauppojen suhteellisen turvallisuuden ulkopuolella. Näiden kauppojen sovelluksia säännellään paljon vähemmän kuin virallisten sovelluskauppojen sovelluksia, ja joissakin niistä on niin paljon haitallisia sovelluksia, että niitä on enemmän kuin turvallisia sovelluksia.

Globaali hyökkäyspinta on myös osa organisaation hyökkäyspintaa

Nykypäivän globaali internetin hyökkäyspinta on muuttunut dramaattisesti dynaamiseksi, kaiken kattavaksi ja täysin kietoutuneeksi ekosysteemiksi, jonka osia me kaikki olemme. Jos olet Internetissä, olet yhteydessä kaikkiin muihin, myös niihin, jotka haluavat vahingoittaa sinua. Tästä syystä uhkien infrastruktuurin seuranta on yhtä tärkeää kuin oman infrastruktuurin seuranta.

uutta haittaohjelmaa havaitaan päivittäin.²
kasvu haittaohjelmavarianteissa.¹³
Cobalt Strike -palvelin 49 minuutin välein.²

Eri uhkaryhmät kierrättävät ja jakavat infrastruktuuria (IP-osoitteita, verkkotunnuksia ja varmenteita) ja käyttävät avoimen lähdekoodin perustyökaluja, kuten haittaohjelmia, tietojenkalastelupaketteja ja C2-komponentteja välttääkseen helpon tunnistettavuuden, ja muokkaavat ja parantavat niitä omiin tarpeisiinsa sopiviksi.

Joka päivä havaitaan yli 560 000 uutta haittaohjelmaa, ja maanalaisilla kyberrikollisuuden markkinapaikoilla mainostettujen tietojenkalastelupakettien määrä kaksinkertaistui vuosien 2018 ja 2019 välillä. Vuonna 2020 havaittujen haittaohjelmavarianttien määrä kasvoi 74 prosenttia.¹⁴ RiskIQ havaitsee nyt Cobalt Strike C2 -palvelimen 49 minuutin välein.

Perinteisesti useimpien organisaatioiden tietoturvastrategia on ollut syvyyssuuntainen puolustus, joka alkaa rajalta ja ulottuu suojattaviin kohteisiin. Tällaisen strategian ja tässä raportissa esitetyn hyökkäyspinnan välillä on kuitenkin eroja. Nykypäivän digitaalisen aktiivisuuden maailmassa käyttäjät ovat rajan ulkopuolella – samoin kuin yhä useammat alttiina olevat yritysten digitaaliset resurssit ja monet haitallisista toimijoista. Zero Trust -periaatteiden soveltaminen yrityksen resursseihin voi auttaa turvaamaan nykypäivän työvoiman – suojaamalla ihmisiä, laitteita, sovelluksia ja tietoja sijainnista tai uhkien laajuudesta riippumatta. Microsoft Security tarjoaa useita kohdennettuja arviointityökaluja, joiden avulla voit arvioida organisaatiosi Zero Trust -suojausmallin kypsyystasoa..

[1]

https://go.microsoft.com/fwlink/?linkid=2262595
[2]

RiskIQ Evil Internet Minute, 2021
[3]

https://go.microsoft.com/fwlink/?linkid=2262596
[4]

https://go.microsoft.com/fwlink/?linkid=2262731
[5]

https://go.microsoft.com/fwlink/?linkid=2262712
[6]

https://go.microsoft.com/fwlink/?linkid=2262569
[7]

https://go.microsoft.com/fwlink/?linkid=2262823
[8]

https://go.microsoft.com/fwlink/?linkid=2262805
[9]

https://go.microsoft.com/fwlink/?linkid=2262476
[10]

https://go.microsoft.com/fwlink/?linkid=2262477
[11]

https://go.microsoft.com/fwlink/?linkid=2262597
[12]

https://go.microsoft.com/fwlink/?linkid=2262920
[13]

https://go.microsoft.com/fwlink/?linkid=2262355

Hyökkäyspinta Kyberresilienssi Haavoittuvuudet

Aiheeseen liittyviä artikkeleita

Cyberthreat Minute

Kyberhyökkäyksen aikana jokainen sekunti on tärkeä. Havainnollistaaksemme maailmanlaajuisen kyberrikollisuuden mittakaavaa ja laajuutta olemme tiivistäneet vuoden kyberturvallisuustutkimuksen yhteen 60 sekunnin ikkunaan.

Lue lisää

Kiristysohjelma palveluna

Kyberrikollisuuden uusin liiketoimintamalli, ihmisten tekemät hyökkäykset, rohkaisee erilaisia kykyjä omaavia rikollisia.

Lue lisää

Growing IoT and the risk to OT

Esineiden internetin lisääntyvä käyttö asettaa OT:n vaaraan, sillä se tuo mukanaan monia mahdollisia haavoittuvuuksia ja altistaa uhkaaville toimijoille. Selvitä, miten voit pitää organisaatiosi suojattuna.

Lue lisää

Ulkoisen hyökkäyspinnan anatomia

Viisi tekijää, joita organisaatioiden tulisi seurata

Globaali hyökkäyspinta kasvaa internetin myötä

Globaali hyökkäyspinta kasvaa joka minuutti

Etätyötä tekevästä työvoimasta johtuvien haavoittuvuuksien lisääntyminen

Uusi haavoittuvuustilanne

Digitaaliset toimitusketjut, M&A, ja varjo-IT luovat piilotetun hyökkäyspinnan

Vaarassa olevat riippuvuudet

Varjo-IT

Fuusiot ja yritysostot

Toimitusketjut

Sovelluskaupat ovat kasvava hyökkäyspinta

Globaali hyökkäyspinta on myös osa organisaation hyökkäyspintaa

Globaali hyökkäyspinta on osa organisaation hyökkäyspintaa

Aiheeseen liittyviä artikkeleita

Cyberthreat Minute

Kyberhyökkäyksen aikana jokainen sekunti on tärkeä. Havainnollistaaksemme maailmanlaajuisen kyberrikollisuuden mittakaavaa ja laajuutta olemme tiivistäneet vuoden kyberturvallisuustutkimuksen yhteen 60 sekunnin ikkunaan.

Kiristysohjelma palveluna

Kyberrikollisuuden uusin liiketoimintamalli, ihmisten tekemät hyökkäykset, rohkaisee erilaisia kykyjä omaavia rikollisia.

Growing IoT and the risk to OT

Esineiden internetin lisääntyvä käyttö asettaa OT:n vaaraan, sillä se tuo mukanaan monia mahdollisia haavoittuvuuksia ja altistaa uhkaaville toimijoille. Selvitä, miten voit pitää organisaatiosi suojattuna.